Les attaques contre le système de noms de domaine (DNS) dans lesquelles des acteurs malveillants exploitent les vulnérabilités du protocole DNS d’Internet sont très courantes et coûteuses.

Le système de noms de domaine (Domain Name System) est constamment attaqué et il semble n’y avoir aucune fin à ces attaques à mesure que les menaces deviennent plus sophistiquées. DNS est autant que l’annuaire téléphonique d’Internet, c’est la partie de l’infrastructure Internet mondiale qui traduit les noms connus en numéros dont les ordinateurs ont besoin pour accéder à un site Web ou envoyer des e-mails. Alors que le DNS est depuis longtemps la cible d’attaques visant à voler toutes sortes d’informations d’entreprise et privées, les menaces qui ont émergé au cours de l’année écoulée indiquent une aggravation de la situation.

Vérifiez également :

Le travail du DNS consiste à traduire un terme qu’un utilisateur peut saisir dans un champ de recherche (connu sous le nom de nom lisible par l’homme) en la chaîne de chiffres appropriée (adresse IP) dont l’appareil a besoin pour accéder à un site Web ou envoyer un e-mail. Les attaques contre ces systèmes irremplaçables peuvent être extrêmement malveillantes.

Une enquête IDC de 2021 auprès de plus de 1 100 organisations en Amérique du Nord, en Europe et dans la région Asie-Pacifique a révélé que 87 % d’entre elles avaient subi des attaques DNS. Le coût moyen de chaque attaque était d’environ 950 000 $ pour toutes les régions et d’environ 1 million de dollars pour les organisations nord-américaines.

Qu’est-ce que le DNS et comment ça marche

Le rapport note également que les organisations de tous les secteurs ont subi en moyenne 7,6 attaques au cours de l’année écoulée.

La transition de COVID-19 vers le travail hors site et la réponse des entreprises au déplacement des ressources vers le cloud pour augmenter leur disponibilité sont devenues de nouvelles cibles pour les attaquants, selon le rapport.

L’étude a également révélé une forte augmentation du vol de données via DNS – 26 % des organisations ont déclaré avoir volé des informations confidentielles sur les clients, contre 16 % en 2020.

Nous présentons les types d’attaques DNS les plus courants.

DNS Boost déclenche des attaques DDOS

Une attaque par amplification DNS est une forme courante de déni de service distribué (DDoS) qui utilise des serveurs DNS ouverts et accessibles au public pour surcharger le système cible avec le trafic de réponse DNS.

Selon la Cybersecurity and Infrastructure Agency (CISA), qui dirige les efforts des États-Unis pour accroître la résilience de l’infrastructure physique et électronique du pays, un attaquant envoie une demande de recherche d’un serveur DNS ouvert pour un nom DNS avec une adresse source définie pour être le adresse de destination.

Lorsque le serveur DNS envoie une réponse à l’enregistrement DNS, celle-ci est envoyée à la destination. La CISA a déclaré que les attaquants envoient généralement une demande pour obtenir autant d’informations de zone que possible afin de maximiser l’effet de polissage. Dans la plupart des attaques de ce type observées par l’US-CERT, les requêtes conçues envoyées par les attaquants sont de type « any », qui renvoie toutes les informations de zone DNS connues en une seule requête.

Étant donné que le volume de réponse est beaucoup plus important que les requêtes, l’attaquant peut augmenter le volume de trafic dirigé vers les systèmes cibles. Selon CISA, en utilisant des botnets pour générer un grand nombre de requêtes DNS personnalisées, un attaquant peut générer un trafic réseau énorme sans trop d’effort.

Étant donné que les réponses sont des données légitimes provenant de serveurs importants, a déclaré l’agence, il est très difficile d’empêcher ces types d’attaques. La forme la plus courante de cette attaque observée par l’US-CERT concerne les serveurs DNS qui sont configurés pour permettre un dépannage récursif illimité de tout client sur Internet. La CISA note que les attaques peuvent également cibler des serveurs de noms de confiance qui ne fournissent pas de dépannage fréquent.

Usurpation DNS / Corruption du cache

En utilisant l’usurpation de DNS, également connue sous le nom de corruption de cache, les acteurs malveillants utilisent les faiblesses des serveurs DNS pour les détourner. En exploitant la corruption du cache, les attaquants injectent des données malveillantes dans les systèmes de cache du résolveur DNS pour tenter de rediriger les utilisateurs vers des sites appartenant aux attaquants. Les attaquants pourraient alors voler des données personnelles ou intercepter d’autres informations.

Lorsque les attaquants prennent le contrôle du serveur DNS, ils peuvent modifier les informations du cache (c’est l’empoisonnement DNS). Le code de corruption du cache DNS se trouve souvent dans les URL envoyées dans les spams ou les e-mails de phishing. Ces messages tentent d’alerter les utilisateurs d’un événement nécessitant une attention immédiate, ce qui nécessite de cliquer sur une URL fournie par les attaquants.

Les serveurs DNS peuvent accéder aux caches d’autres serveurs DNS, et c’est ainsi que l’attaque se propage largement. Le principal risque de corruption du DNS est le vol de données. Autre risque important : si le site Web de votre fournisseur de sécurité Internet est altéré, votre ordinateur peut être exposé à des menaces supplémentaires telles que des virus ou des chevaux de Troie, car les mises à jour de sécurité légitimes ne seront pas effectuées.

Tunnel DNS

Un autre moyen courant d’attaquer le DNS, et l’un des plus anciens, est le tunneling DNS. Ces attaques utilisent le protocole DNS pour transmettre des logiciels malveillants et d’autres données dans un modèle client-serveur. Ces charges utiles peuvent prendre le contrôle du serveur DNS et permettre aux attaquants de gérer le serveur et ses applications.

Un tunnel crée une connexion furtive entre l’attaquant et la cible – via un résolveur DNS – qui peut contourner le pare-feu. Les cybercriminels peuvent utiliser le tunnel pour des activités malveillantes telles que le vol de données.

Le tunneling DNS dépend dans de nombreux cas de la connexion réseau externe du système compromis, qui permet l’accès au serveur DNS interne via un accès réseau.

Fast Stream contourne le contrôle de sécurité

Fast Flux est une technique d’évitement DNS dans laquelle les attaquants utilisent des botnets pour cacher leurs activités de phishing et de logiciels malveillants aux scanners de sécurité en utilisant les adresses IP en constante évolution des hôtes compromis qui agissent comme des proxys inverses vers le serveur principal du bot.

Le terme « flux rapide » fait également référence à la combinaison de réseaux peer-to-peer, de commande et de contrôle distribués, d’équilibrage de charge réseau et de transfert de proxy, qui sont utilisés pour immuniser un réseau de logiciels malveillants contre la détection.

L’idée principale derrière Fast Flux est d’avoir un grand nombre d’adresses IP associées à un seul nom de domaine légitime, car les adresses IP sont souvent échangées en modifiant les enregistrements de ressources DNS. Les serveurs de noms de domaine Fast Flow certifiés sont pour la plupart hébergés par un cybercriminel.

Piratage/redirection DNS

Le piratage DNS (ou redirection DNS) est la pratique consistant à saper la façon dont les requêtes DNS sont résolues. Pour ce faire, les cybercriminels utilisent des logiciels malveillants qui écrasent la configuration TCP/IP d’un système pour pointer vers un serveur DNS malveillant sous le contrôle de l’attaquant, ou en modifiant le comportement d’un serveur DNS de confiance pour le rendre incompatible avec les normes Internet. Les mauvais acteurs utilisent ces mods à des fins malveillantes telles que le phishing.

Il existe trois versions principales du piratage DNS :

Les attaquants piratent le compte du bureau d’enregistrement de domaine et modifient le serveur de noms DNS en un serveur qu’ils contrôlent Changer l’enregistrement de l’adresse IP du domaine pour qu’il pointe vers l’adresse de l’attaquant

Les attaquants pénètrent dans le routeur de l’entreprise et modifient le serveur DNS, qui est automatiquement envoyé à chaque machine lorsque les utilisateurs se connectent au réseau de l’entreprise.

Comment prévenir les attaques DNS

Les organisations peuvent adopter un certain nombre de pratiques pour aider à réduire le risque d’attaques DNS.

Voici quelques pratiques suggérées :

Mettre en place un contrôle d’accès renforcé

Les entreprises doivent s’assurer qu’elles prennent des mesures pour mieux contrôler qui peut accéder au réseau. Une façon de procéder consiste à mettre en œuvre une authentification multifacteur ou à deux facteurs comme moyen d’accéder à votre compte ou système en ligne. Cela oblige les utilisateurs à fournir plus d’un type d’informations, comme un mot de passe et un identifiant, pour l’accès.

Les entreprises doivent s’assurer que l’authentification multifacteur est activée sur tous les journaux ou comptes de journal, afin que les mots de passe ne soient pas faciles à deviner, stockés en toute sécurité et non réutilisés dans les services.

La CISA recommande aux organisations de mettre immédiatement à jour leurs mots de passe pour tous les comptes sur les systèmes susceptibles d’apporter des modifications aux enregistrements DNS, y compris les comptes dans le logiciel de serveur DNS géré de l’organisation, les systèmes gérant le programme, les panneaux de gestion des opérateurs DNS externes et les comptes d’enregistrement DNS.

Utiliser le principe de méfiance

L’approche méfiante de la sécurité prend de l’ampleur, en partie grâce au soutien accru du gouvernement fédéral américain, ainsi qu’aux modèles commerciaux hybrides et distants qui ont incubé de nombreuses entreprises. La confiance zéro peut jouer un rôle important dans la réduction des menaces DNS.

La société de recherche Garner recommande aux responsables de la sécurité et des risques de mettre en œuvre deux projets majeurs de défiance réseau pour réduire les risques. Le premier est la mise en œuvre du système Zero Trust Network Access (ZTNA), qui résume et centralise les mécanismes d’accès afin que les ingénieurs et le personnel de sécurité en soient responsables.

Accorde un accès approprié en fonction de l’identité des utilisateurs et de leurs appareils, et en fonction d’autres facteurs tels que l’heure et la date, l’emplacement géographique, les modèles d’utilisation historiques et la santé de l’appareil. Le résultat, selon Gartner, est un environnement plus sûr et plus résilient, avec une flexibilité accrue et une surveillance améliorée.

Un autre projet est la segmentation du réseau basée sur l’identité, qui, selon Gartner, est un moyen efficace de limiter la capacité des attaquants à naviguer sur le réseau une fois qu’ils y sont entrés.

La société a déclaré que la fragmentation basée sur l’identité réduit la confiance implicite injustifiée en permettant aux organisations de déplacer les charges de travail individuelles vers un modèle de « refus par défaut » plutôt qu’une « autorisation implicite ». Il utilise des règles dynamiques qui évaluent la charge de travail et l’identité de l’application dans le cadre de la décision d’autoriser ou non l’accès au réseau.

Examiner et vérifier les enregistrements DNS

CISA recommande que pour tous les domaines que votre organisation possède et gère, vous examiniez tous les enregistrements du domaine public avec les bureaux d’enregistrement de domaine pour vérifier que les enregistrements de serveur de noms (NS) associés sont autorisés sur les serveurs DNS appropriés. Vous devez examiner tous les enregistrements DNS sur tous les serveurs DNS approuvés et secondaires pour vérifier qu’ils sont résolus pour l’usage auquel ils sont destinés.

Les organisations doivent immédiatement enquêter sur toute incohérence découverte et la traiter comme un incident de sécurité potentiel. Ces actions aideront à détecter tout piratage DNS actif.

Source : Réseau mondial